Перейти к содержимому
Калькуляторы

DoS от пользователя

Подскажите, как отбиться, от некоторых пользователей было один раз такое:

Вывод tcpdump:

000087 IP 10.10.1.30.4919 > static.vit.com.tr.40: UDP, length 1024

000088 IP 10.10.1.30.4920 > 188.124.5.124.whois++: UDP, length 1024

000464 IP 10.10.1.30.4921 > 188.124.5.124.smtp: UDP, length 1024

000074 IP 10.10.1.30.4922 > 188.124.15.237.whois++: UDP, length 1024

000089 IP 10.10.1.30.4923 > 188.124.5.113.telnet: UDP, length 1024

000089 IP 10.10.1.30.4924 > 188.124.15.180.netrjs-2: UDP, length 1024

000088 IP 10.10.1.30.4925 > static.vit.com.tr.deos: UDP, length 1024

000088 IP 10.10.1.30.4927 > 188.124.7.243.35: UDP, length 1024

000090 IP 10.10.1.30.4926 > 188.124.15.237.57: UDP, length 1024

000183 IP 10.10.1.30.4928 > static.vit.com.tr.xns-auth: UDP, length 1024

000090 IP 10.10.1.30.4929 > static.vit.com.tr.dsp: UDP, length 1024

000087 IP 10.10.1.30.4930 > 93.186.127.3.domain: 36318 updateD [b2&3=0x5043] [24145a] [13167q] [31168n] [53945au][|domain]

000089 IP 10.10.1.30.4931 > 188.124.7.243.tftp: 1024 tftp-#31463

000088 IP 10.10.1.30.4932 > static.vit.com.tr.whois++: UDP, length 1024

000088 IP 10.10.1.30.4933 > 188.124.15.180.57: UDP, length 1024

000090 IP 10.10.1.30.4934 > static.vit.com.tr.vettcp: UDP, length 1024

000087 IP 10.10.1.30.4935 > static.vit.com.tr.nsw-fe: UDP, length 1024

000088 IP 10.10.1.30.4936 > 188.124.15.241.graphics: UDP, length 1024

000089 IP 10.10.1.30.4937 > static.vit.com.tr.tftp: 1024 tftp-#49204

000088 IP 10.10.1.30.4938 > 188.124.7.243.re-mail-ck: UDP, length 1024

000147 IP 10.10.1.30.4939 > 188.124.5.113.graphics: UDP, length 1024

000088 IP 10.10.1.30.4940 > static.vit.com.tr.netrjs-3: UDP, length 1024

000096 IP 10.10.1.30.4941 > 188.124.5.124.rlp: UDP, length 1024

000088 IP 10.10.1.30.4942 > 188.124.5.124.30: UDP, length 1024

000089 IP 10.10.1.30.4943 > 188.124.15.237.mpm-snd: UDP, length 1024

000088 IP 10.10.1.30.4944 > static.vit.com.tr.57: UDP, length 1024

000088 IP 10.10.1.30.4945 > 188.124.15.180.nicname: UDP, length 1024

000089 IP 10.10.1.30.4946 > 188.124.5.113.nameserver: UDP, length 1024

000507 IP 10.10.1.30.4947 > 188.124.15.237.isi-gl: UDP, length 1024

000133 IP 10.10.1.30.4948 > 188.124.7.243.graphics: UDP, length 1024

000088 IP 10.10.1.30.4949 > static.vit.com.tr.graphics: UDP, length 1024

000088 IP 10.10.1.30.4950 > static.vit.com.tr.sql*net: UDP, length 1024

000238 IP 10.10.1.30.4951 > 93.186.127.3.60: UDP, length 1024

000228 IP 10.10.1.30.4952 > 188.124.7.243.msg-icp: UDP, length 1024

 

Пинг до сервера с 1мс увеличивался до 25-35мс, инет тупил ужасно.

Звонок пользователю, конечно все разруливал, но охота как-то перестраховаться от подобного.

По словам пользователей они ничего не делали(ни торентом не пользуются, ни скайпом, ни аськой),

но после звонка почему-то UDP - flood прекращался, на мое предложение зайти к ним домой и поставить на шару

антивирус и аутпост, мне вежливо почему-то отказывали :).

Первый раз сталкиваюсь с подобными проблемами, и хотелось бы совета бывалых.

Хотел сначала добавить на пользователя :

 

iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT

iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j LOG --log-prefix "LIMIT :"

iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j DROP

 

Но для данного примера это не поможет, и лучше думаю будет следующие:

 

iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT

iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j LOG

iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j DROP

 

Поможет ли это?

 

Ось gentoo, iptables 1.4.3, kernel 2.6.30.

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Банить надо как можно ближе к источнику вредоносного трафика, т.е. на порту коммутатора, к которому подключен пользователь.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поможет ли это?

Не поможет. Ищите c&c сервер и блокируйте его. А юзеру надо прописать вирье ловить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас